1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Ср июл 23, 2025 20:49

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 15 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
YED
СообщениеДобавлено: Пн июн 20, 2011 12:31 
Не в сети

Зарегистрирован: Пн сен 08, 2008 06:54
Сообщений: 14
Уже не знаю как решить проблему. Периодически DFL-860e разрывает соединение. В логах перед разрывом только следующее:

Скрытый текст: показать
20.06.2011 Примечание RULE LocalUndelivered TCP lan 127.0.0.1 58348 unhandled_local
16:53:22 6000060 10.10.1.2 3128 drop
ipdatalen=32 tcphdrlen=32 syn=1
20.06.2011 Примечание RULE LocalUndelivered TCP lan 127.0.0.1 58703 unhandled_local
16:53:20 6000060 10.10.1.2 3128 drop
ipdatalen=32 tcphdrlen=32 syn=1
20.06.2011 Примечание RULE LocalUndelivered TCP lan 127.0.0.1 9510 unhandled_local
16:53:18 6000060 10.10.1.2 3128 drop
ipdatalen=32 tcphdrlen=32 syn=1
20.06.2011 Примечание RULE LocalUndelivered TCP lan 127.0.0.1 10291 unhandled_local
16:53:15 6000060 10.10.1.2 3128 drop
ipdatalen=28 tcphdrlen=28 syn=1
20.06.2011 Предупреждение IP_ERROR IPStd HOPOPT lan 0.0.0.0 invalid_ip_length
16:53:14 1500004 0.0.0.0 drop
iptotlen=52 recvlen=50 ipdf=1 ipdatalen=32
20.06.2011 Предупреждение RULE Default_Rule TCP wan1 46.73.26.175 2643 ruleset_drop_packet
16:53:13 6000051 89.249.YYYY.XXX 25664 drop
ipdatalen=28 tcphdrlen=28 syn=1
20.06.2011 Предупреждение RULE Default_Rule TCP wan1 89.109.236.125 2001 ruleset_drop_packet
16:53:13 6000051 89.249.YYYY.XXX 25664 drop
ipdatalen=20 rst=1
20.06.2011 Предупреждение RULE Default_Rule UDP wan1 46.138.168.122 52634 ruleset_drop_packet
16:53:13 6000051 89.249.YYYY.XXX 25664 drop
ipdatalen=38 udptotlen=38
20.06.2011 Предупреждение RULE Default_Rule TCP wan1 123.149.189.46 3984 ruleset_drop_packet
16:53:13 6000051 89.249.YYYY.XXX 13465 drop
ipdatalen=32 tcphdrlen=32 syn=1
20.06.2011 Предупреждение RULE Default_Rule UDP wan1 188.134.14.163 1062 ruleset_drop_packet
16:53:13 6000051 89.249.YYYY.XXX 25664 drop
ipdatalen=38 udptotlen=38
20.06.2011 Предупреждение IP_PROTO TTLOnLowMulticast UDP lan 169.254.86.166 53449 ttl_low
16:53:10 7000014 239.255.255.250 1900 drop
ttl=1 ttlmin=3 ipdatalen=141 udptotlen=141
20.06.2011 Предупреждение RULE Default_Rule UDP wan1 178.187.145.241 24425 ruleset_drop_packet
16:53:10 6000051 89.249.YYYY.XXX 25664 drop
ipdatalen=38 udptotlen=38
20.06.2011 Предупреждение RULE Default_Rule TCP wan1 178.187.145.241 55190 ruleset_drop_packet
16:53:10 6000051 89.249.YYYY.XXX 25664 drop
ipdatalen=28 tcphdrlen=28 syn=1
20.06.2011 Предупреждение RULE Default_Rule UDP wan1 91.202.11.196 24054 ruleset_drop_packet
16:53:10 6000051 89.249.YYYY.XXX 25664 drop
ipdatalen=38 udptotlen=38
20.06.2011 Предупреждение RULE Default_Rule TCP wan1 91.202.11.196 58407 ruleset_drop_packet
16:53:10 6000051 89.249.YYYY.XXX 25664 drop
ipdatalen=32 tcphdrlen=32 syn=1
20.06.2011 Предупреждение RULE Default_Rule TCP wan1 188.134.14.163 62165 ruleset_drop_packet
16:53:10 6000051 89.249.YYYY.XXX 25664 drop
ipdatalen=32 tcphdrlen=32 syn=1
20.06.2011 Предупреждение RULE Default_Rule UDP wan1 188.134.14.163 1062 ruleset_drop_packet
16:53:10 6000051 89.249.YYYY.XXX 25664 drop
ipdatalen=38 udptotlen=38
20.06.2011 Предупреждение RULE Default_Rule TCP wan1 80.250.160.211 43781 ruleset_drop_packet
16:53:10 6000051 89.249.YYYY.XXX 25664 drop
ipdatalen=40 tcphdrlen=40 syn=1
20.06.2011 Предупреждение IP_ERROR IPStd HOPOPT lan 0.0.0.0 invalid_ip_length
16:53:10 1500004 0.0.0.0 drop
iptotlen=1466 recvlen=50 ipdatalen=1446
20.06.2011 Предупреждение RULE Default_Rule TCP wan1 178.151.177.198 56571 ruleset_drop_packet
16:53:10 6000051 89.249.YYYY.XXX 25664 drop
ipdatalen=40 tcphdrlen=40 syn=1

Через некоторое время соединение успешно восстанавливается. Подскажите в какую сторону начать копать?
Возвращал значения по-умолчанию, отключал фильтры, отключал антивирус -- результат прежний.

D-Link Firewall 2.30.00.07-15463
Total installed RAM: 256 MB
Free memory : 128 MB
CPU Load : 2%
Connections : 1433 out of 50000
Вернуться наверх
 Профиль  
 
danilovav
СообщениеДобавлено: Пн июн 20, 2011 19:44 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
В логе - обычный флуд
Попробуйте с пропускающего правила (NAT или Allow, что там у вас) включить логгирование

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
masters
СообщениеДобавлено: Пн июн 20, 2011 22:24 
Не в сети

Зарегистрирован: Чт фев 07, 2008 12:18
Сообщений: 314
Тоже ничего не понял.
Что за соединение? К провайдеру? PPTP, PPPoE или просто физический интерфейс падает?

Может в кабеле проблема?
У меня такое было, когда поставил грозозащиту на WAN2. Падал физический интерфейс каждые 5-10 минут. Там оказалась разность потенциалов, свич провайдера был заземлен на 0 дома, а у нас отдельная земля, из-за этого и не стреляло.

_________________
D-Link DFL-860E (2.30.01.06)
D-Link DGS-3612G
D-Link DGS-3200-10
D-Link DES-1228
D-Link DES-1200-28
Вернуться наверх
 Профиль  
 
YED
СообщениеДобавлено: Вт июн 21, 2011 02:51 
Не в сети

Зарегистрирован: Пн сен 08, 2008 06:54
Сообщений: 14
masters писал(а):
Тоже ничего не понял.
Что за соединение? К провайдеру? PPTP, PPPoE или просто физический интерфейс падает?

Соединение PPPoE до провайдера.
Кабель пробовали менять. Заземление у нас и у провайдера полноценное.
Вернуться наверх
 Профиль  
 
YED
СообщениеДобавлено: Вт июн 21, 2011 03:12 
Не в сети

Зарегистрирован: Пн сен 08, 2008 06:54
Сообщений: 14
danilovav писал(а):
В логе - обычный флуд
Попробуйте с пропускающего правила (NAT или Allow, что там у вас) включить логгирование

Как только разорвало соединение, залез в логи, там следующее:

Скрытый текст: показать
21.06.2011 Информация CONN superusers TCP lan 10.10.0.7 34527 conn_close_natsat
8:09:24 600005 wan1 94.229.228.240 37767 close
conn=close connnewsrcip=89.249.YYY.XXX connnewsrcport=29848 connnewdestip=94.229.228.240 connnewdestport=37767 origsent=152 termsent=0
21.06.2011 Информация CONN superusers TCP lan 10.10.0.7 34529 conn_close_natsat
8:09:24 600005 wan1 84.25.104.111 10398 close
conn=close connnewsrcip=89.249.YYY.XXX connnewsrcport=20823 connnewdestip=84.25.104.111 connnewdestport=10398 origsent=152 termsent=0
21.06.2011 Информация CONN superusers TCP lan 10.10.0.7 34458 conn_close_natsat
8:09:24 600005 wan1 109.111.150.132 55427 close
conn=close connnewsrcip=89.249.YYY.XXX connnewsrcport=29039 connnewdestip=109.111.150.132 connnewdestport=55427 origsent=280 termsent=132
21.06.2011 Информация CONN superusers TCP lan 10.10.0.85 1117 conn_close_natsat
8:09:24 600005 wan1 89.249.129.20 80 close
conn=close connnewsrcip=89.249.YYY.XXX connnewsrcport=27693 connnewdestip=89.249.129.20 connnewdestport=80 origsent=585 termsent=402
21.06.2011 Предупреждение IP_PROTO TTLOnLowMulticast UDP lan 10.10.1.19 1900 ttl_low
8:09:24 7000014 239.255.255.250 1900 drop
ttl=4 ttlmin=5 ipdf=1 ipdatalen=366 udptotlen=366
21.06.2011 Предупреждение IP_PROTO TTLOnLowMulticast UDP lan 10.10.1.19 1900 ttl_low
8:09:24 7000014 239.255.255.250 1900 drop
ttl=4 ttlmin=5 ipdf=1 ipdatalen=364 udptotlen=364
21.06.2011 Предупреждение IP_PROTO TTLOnLowMulticast UDP lan 10.10.1.19 1900 ttl_low
8:09:24 7000014 239.255.255.250 1900 drop
ttl=4 ttlmin=5 ipdf=1 ipdatalen=352 udptotlen=352
21.06.2011 Предупреждение IP_PROTO TTLOnLowMulticast UDP lan 10.10.1.19 1900 ttl_low
8:09:24 7000014 239.255.255.250 1900 drop
ttl=4 ttlmin=5 ipdf=1 ipdatalen=300 udptotlen=300
21.06.2011 Предупреждение IP_PROTO TTLOnLowMulticast UDP lan 10.10.1.19 1900 ttl_low
8:09:24 7000014 239.255.255.250 1900 drop
ttl=4 ttlmin=5 ipdf=1 ipdatalen=309 udptotlen=309
21.06.2011 Предупреждение TCP_OPT TCP lan 89.249.YYY.XXX 39906 mismatching_tcp_window_scale
8:09:24 3400019 wan1 46.227.27.81 35187 adjust
old=8 new=not_used effective=not_used origsent=152 termsent=0 ipdatalen=28 tcphdrlen=28 syn=1
21.06.2011 Предупреждение TCP_OPT TCP lan 89.249.YYY.XXX 13909 mismatching_tcp_window_scale
8:09:24 3400019 wan1 77.122.32.189 35052 adjust
old=8 new=not_used effective=not_used origsent=152 termsent=0 ipdatalen=28 tcphdrlen=28 syn=1
21.06.2011 Предупреждение TCP_OPT TCP lan 89.249.YYY.XXX 52793 mismatching_tcp_window_scale
8:09:24 3400019 wan1 178.125.127.9 38137 adjust
old=8 new=not_used effective=not_used origsent=152 termsent=0 ipdatalen=28 tcphdrlen=28 syn=1
21.06.2011 Предупреждение TCP_OPT TCP lan 89.249.YYY.XXX 23458 mismatching_tcp_window_scale
8:09:24 3400019 wan1 213.5.219.14 57659 adjust
old=8 new=not_used effective=not_used origsent=152 termsent=0 ipdatalen=28 tcphdrlen=28 syn=1
21.06.2011 Информация CONN superusers UDP lan 10.10.0.7 45678 conn_open_natsat
8:09:24 600004 wan1 85.26.155.94 41612
conn=open connnewsrcip=89.249.YYY.XXX connnewsrcport=62221 connnewdestip=85.26.155.94 connnewdestport=41612
21.06.2011 Информация CONN superusers TCP lan 10.10.0.7 34777 conn_open_natsat
8:09:24 600004 wan1 93.183.199.213 49287
conn=open connnewsrcip=89.249.YYY.XXX connnewsrcport=60446 connnewdestip=93.183.199.213 connnewdestport=49287
21.06.2011 Информация CONN superusers TCP lan 10.10.0.7 34776 conn_open_natsat
8:09:24 600004 wan1 85.26.155.94 41612
conn=open connnewsrcip=89.249.YYY.XXX connnewsrcport=25902 connnewdestip=85.26.155.94 connnewdestport=41612
Вернуться наверх
 Профиль  
 
danilovav
СообщениеДобавлено: Вт июн 21, 2011 04:54 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Ваши логи опять ниочем
У вас часом dial on demand не включено на РРРоЕ интерфейсе?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
YED
СообщениеДобавлено: Вт июн 21, 2011 05:13 
Не в сети

Зарегистрирован: Пн сен 08, 2008 06:54
Сообщений: 14
Нет. Соединение по требованию не включено. Перелопатил все логи -- ничего подозрительного нет, но соединение по прежнему рвётся.
На сутки включал проброс логов на внешний syslog-сервер, а потом анализировал подозрительные записи. Приезжал в Красноярск, вместе с Андреем Николаевым смотрели лог -- ничего подозрительного также не нашли.
Более подробный лог с внешнего syslog-сервера в период разрыва могу выслать, если поможет разобраться в ситуации. Включено логирование абсолютно всех правил. Размер в сжатом виде ~200KB.
Единственная закономерность -- при активном использовании HTTPS разрывов становится больше. Переключаю на старый софтовый firewall с RHEL на борту -- нет разрывов, так что дело однозначно в железке...
Нервы на пределе уже и у меня, и у сотрудников :(
Вернуться наверх
 Профиль  
 
YED
СообщениеДобавлено: Вт июн 21, 2011 11:41 
Не в сети

Зарегистрирован: Пн сен 08, 2008 06:54
Сообщений: 14
Со стороны провайдера также видны наши частые разрывы! В их логах примерно следующее:
Цитата:
Tue Jun 21 12:53:15 2011 89.249.AAA.ZZZ user 0/0/1/21 unknown stop task_id=440752 timezone=KRSD service=ppp start_time=1308631673 client-mac-address=5cd9.9850.ce99 Framed-Protocol=1 protocol=ip addr=89.249.YYY.XXX pre-session-time=3 nas-tx-speed=1000000000 nas-rx-speed=1000000000 elapsed_time=318 bytes_in=14859836 bytes_out=12766948 pre-bytes-in=104 pre-bytes-out=109 paks_in=35755 paks_out=31222 pre-paks-in=5 pre-paks-out=6 disc-cause=8 disc-cause-ext=41

Самое главное я так понимаю вот это:
Цитата:
disc-cause=8 disc-cause-ext=41

Всё же проблема на стороне нашей железки или на стороне провайдера?
Вернуться наверх
 Профиль  
 
YED
СообщениеДобавлено: Вт июн 21, 2011 13:06 
Не в сети

Зарегистрирован: Пн сен 08, 2008 06:54
Сообщений: 14
Проблема решена! Решение проблемы здесь: viewtopic.php?p=750296#p750296
Вопрос только в одном -- до каких же пор будут такие настройки не через лицо?
Вернуться наверх
 Профиль  
 
YuriAM
СообщениеДобавлено: Вт июн 21, 2011 14:09 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
YED писал(а):
Проблема решена! Решение проблемы здесь: viewtopic.php?p=750296#p750296
Вопрос только в одном -- до каких же пор будут такие настройки не через лицо?

К сожалению, случаи локальной несовместимости портов DFL с портами провайдеров не так редки.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.
Вернуться наверх
 Профиль  
 
masters
СообщениеДобавлено: Вт июн 21, 2011 19:13 
Не в сети

Зарегистрирован: Чт фев 07, 2008 12:18
Сообщений: 314
YED писал(а):
Проблема решена! Решение проблемы здесь: viewtopic.php?p=750296#p750296
Вопрос только в одном -- до каких же пор будут такие настройки не через лицо?


До тех пор, пока все производители не начнут придерживаться одного стандарта, но такого наверное никогда не произойдет :roll: И Д-Линк тут ни причем.

_________________
D-Link DFL-860E (2.30.01.06)
D-Link DGS-3612G
D-Link DGS-3200-10
D-Link DES-1228
D-Link DES-1200-28
Вернуться наверх
 Профиль  
 
Dima G.
СообщениеДобавлено: Ср июн 22, 2011 09:25 
Не в сети

Зарегистрирован: Пн сен 27, 2004 12:16
Сообщений: 1978
Откуда: Москва
Ух, ты, уж с прошивочкой 2.30 продают девайсы. А ведь, смотрю, только вышла 2.30.01.06 :)

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)
Вернуться наверх
 Профиль  
 
masters
СообщениеДобавлено: Ср июн 22, 2011 11:55 
Не в сети

Зарегистрирован: Чт фев 07, 2008 12:18
Сообщений: 314
Dima G. писал(а):
Ух, ты, уж с прошивочкой 2.30 продают девайсы. А ведь, смотрю, только вышла 2.30.01.06 :)


Киньте ссылкой на нее, а то нигде не нашел

_________________
D-Link DFL-860E (2.30.01.06)
D-Link DGS-3612G
D-Link DGS-3200-10
D-Link DES-1228
D-Link DES-1200-28
Вернуться наверх
 Профиль  
 
YuriAM
СообщениеДобавлено: Ср июн 22, 2011 15:47 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
masters писал(а):
Dima G. писал(а):
Ух, ты, уж с прошивочкой 2.30 продают девайсы. А ведь, смотрю, только вышла 2.30.01.06 :)


Киньте ссылкой на нее, а то нигде не нашел
Не факт что где-то есть. Можно взять с друго устройства полный бекап. а потом сменить конфигурацию на вашу. Наверное, должно сработать.

Хотя гнаться особой нужды не вижу.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.
Вернуться наверх
 Профиль  
 
Dima G.
СообщениеДобавлено: Ср июн 22, 2011 17:04 
Не в сети

Зарегистрирован: Пн сен 27, 2004 12:16
Сообщений: 1978
Откуда: Москва
masters писал(а):
Dima G. писал(а):
Ух, ты, уж с прошивочкой 2.30 продают девайсы. А ведь, смотрю, только вышла 2.30.01.06 :)


Киньте ссылкой на нее, а то нигде не нашел

Здесь - http://pmdap.dlink.com.tw/PMD/GetAgileFile?itemNumber=FIR1100230&fileName=DFL-860E_A1_FW_2.30.01.06-upgrade.img&fileSize=7054902.0;700939.0;

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 15 ] 

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 279

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB